Если серверная часть моего веб-приложения имеет долгоживущий токен доступа для пользователя, могу ли я использовать его для создания краткосрочного токена доступа, который передается клиенту (веб-странице) для взаимодействия с API Facebook?
Более того, могу ли я создать недолговечный и ограниченный по объему (например, с областью действия только user_photos), даже если токен долгосрочного доступа на моем сервере имеет больше разрешений?
Одним из вариантов может быть использование долгоживущего токена доступа моего сервера для создания нового долгоживущего токена доступа и передачи JavaScript на странице согласно этого потока API.
Это сработает, но мне не нравится идея раздавать долгоживущие токены с полными разрешениями.
Одним из вариантов может быть проксирование Facebook API для зарегистрированных пользователей. Я бы сделал определенные конечные точки на нашем сайте, которые вызывают Facebook с помощью вашего сохраненного долгоживущего токена доступа.
Это работает и звучит хорошо с точки зрения безопасности, но будет больше работы с небольшой гибкостью.
